/
Segmentation Zero Trust

Zero Trust en pratique avec le créateur John Kindervag et le CISO Jared Nussbaum

Que se passe-t-il lorsque l'esprit de Zero Trust se trouve face à face avec quelqu'un qui le met à l'épreuve tous les jours ?

C'est exactement ce qu'Illumio a apporté à la scène du RSAC 2025 : une conversation rare et non scénarisée entre John Kindervag, le créateur de Zero Trust et évangéliste en chef d'Illumio, et Jared Nussbaum, CISO chez Ares Management et un praticien chevronné qui a vécu le parcours Zero Trust de l'intérieur.

John a présenté le modèle il y a 15 ans. Jared a passé des décennies à aider les entreprises internationales à l'adopter, à l'adapter et à se remettre de failles réelles. Ensemble, ils ont expliqué où Zero Trust est né, comment il a évolué et ce qu'il faut pour le faire fonctionner dans le contexte actuel des menaces.

Voici six informations clés issues de leur conversation que tout responsable de la sécurité devrait prendre à cœur.

1. Zero Trust est une stratégie, pas un produit

Alors que de nombreux fournisseurs essaient d'emballer Confiance zéro en tant qu'outil, ce n'est pas exact. Il s'agit d'un changement stratégique dans la façon dont nous envisageons la sécurisation des environnements numériques.

Au cours de leur conversation, John a été clair : « Zero Trust est avant tout une stratégie. C'est quelque chose que vous faites, pas quelque chose que vous achetez. »

Jared, parlant du point de vue du CISO, est d'accord. « Tout ce qui m'aide à gagner en visibilité et à réduire les risques est une victoire », a-t-il déclaré.

Mais il a ajouté que Zero Trust devait commencer par un état d'esprit et une stratégie adaptés aux résultats commerciaux. Avant de passer à des outils ou à des frameworks, les équipes de sécurité doivent comprendre ce qu'elles protègent et pourquoi. Cela garantit que les dépenses de sécurité sont hiérarchisées de manière appropriée et peuvent obtenir une forte adhésion de la part du conseil d'administration.

« Zero Trust est avant tout une stratégie. C'est quelque chose que vous faites, pas quelque chose que vous achetez. »

— John Kindervag, créateur de Zero Trust

2. La microsegmentation est fondamentale

Pour John, segmentation est à la base de Zero Trust. En fait, le deuxième rapport jamais écrit sur Zero Trust est celui que John a écrit il y a 15 ans, Intégrez la sécurité à l'ADN de votre réseau : l'architecture réseau Zero Trust.

Dans ce rapport, il a souligné l'importance de la segmentation et de la gestion centralisée en tant qu'éléments clés de Zero Trust. Il a appelé à la création de nouveaux moyens de segmenter les réseaux, car ils devront tous être segmentés.

Extrait de Forrester's Intégrez la sécurité à l'ADN de votre réseau : l'architecture réseau Zero Trust

Au cours de la conversation, John a souligné que les réseaux actuels doivent être segmentés par défaut pour empêcher les attaquants de se déplacer latéralement une fois qu'ils y ont accédé. « Les assaillants en sont propriétaires, et vous payez les factures », a-t-il dit. « La segmentation est à la base de Zero Trust. »

Jared a illustré l'impact des réseaux non segmentés à l'aide de l'exemple du Atteinte à Target en 2013. Les attaquants ont obtenu l'accès par l'intermédiaire d'un fournisseur de CVC tiers et ont accédé aux systèmes des points de vente parce que les limites appropriées n'étaient pas en place.

« La segmentation réalisée avec des limites de sécurité strictes vous donne visibilité et contrôle », a-t-il déclaré. « Vous ne pouvez pas empêcher tous les attaquants d'entrer, mais vous pouvez les empêcher d'aller très loin. »

3. Commencez petit avec Zero Trust

L'une des plus grandes erreurs que John constate est celle des équipes qui essaient de déployer Zero Trust dans l'ensemble d'une organisation en une seule fois.

« Les gens échouent à Zero Trust parce qu'ils essaient de tout faire en même temps », a-t-il expliqué. « Il faut commencer petit, une surface de protection à la fois. »

Son célèbre méthodologie Zero Trust en cinq étapes met l'accent sur des environnements de construction adaptés, gérables et durables :

  • Définissez la surface de protection. Identifiez ce qui doit être protégé, en sachant que la surface d'attaque est en constante évolution.
  • Cartographiez les flux de transactions. Bénéficiez d'une visibilité sur les flux de communication et de trafic afin de déterminer les domaines dans lesquels des contrôles de sécurité sont nécessaires.
  • Concevez l'environnement Zero Trust. Une fois la visibilité totale atteinte, mettez en œuvre des contrôles adaptés à chaque surface de protection.
  • Créez des politiques de sécurité Zero Trust. Élaborez des règles granulaires permettant au trafic d'accéder aux ressources de la surface de protection.
  • Surveillez et entretenez le réseau. Établissez une boucle de rétroaction grâce à la télémétrie, en améliorant continuellement la sécurité et en créant un système résilient et antifragile.

Nussbaum a vu la même chose se produire à l'entraînement. « Les entreprises ont du mal à gérer Zero Trust lorsqu'elles prennent trop de choses en même temps », a-t-il déclaré. « Si vous commencez modestement, que vous vous alignez sur les parties prenantes de votre entreprise et que vous développez progressivement, Zero Trust devient réalisable. »

Il a souligné l'importance de comprendre l'environnement, de définir des objectifs clairs et de générer de la valeur rapidement pour créer une dynamique. Dans le cas contraire, il prévient que les projets Zero Trust peuvent échouer rapidement et compromettre la posture de sécurité d'une organisation.

4. L'identité ne suffit pas

Alors que l'identité occupe souvent une place centrale dans les conversations Zero Trust, John a contesté cette notion depuis le début. « L'identité n'est qu'un signal », a-t-il déclaré. « C'est toujours fongible. Vous avez besoin de plus de contexte pour prendre de bonnes décisions. »

En d'autres termes, le fait de se fier uniquement à l'identité comporte des risques. En effet, il est toujours possible qu'une session soit piratée ou qu'une identité soit utilisée à mauvais escient.

Jared a insisté sur la nécessité d'aller au-delà des informations d'identification des utilisateurs. « Tu dois vérifier en permanence l'utilisateur, son appareil, l'endroit où il travaille, ce à quoi il accède et si cela a du sens », a-t-il déclaré.

Il a fait remarquer qu'il ne s'agit pas uniquement de personnes. Les communications entre charges de travail doivent également être vérifiées et contrôlées. « Sans contexte complet, il est impossible d'appliquer une politique efficace. »

Des outils d'observabilité basés sur l'IA tels que Illumio Insights fournir le type de contexte profond qu'exige la sécurité moderne. Ils vous aident à comprendre le contexte de votre environnement pour comprendre le comportement, identifier les anomalies et évaluer les risques en fonction de la façon dont les choses sont censées fonctionner par rapport à ce qui se passe réellement.

5. Définissez le cyberrisque en termes commerciaux

John a décrit Zero Trust comme « la grande stratégie de cybersécurité ». Il a souligné son adoption croissante tant par les gouvernements que par les entreprises.

Il a notamment expliqué comment la stratégie avait trouvé un écho, même auprès des dirigeants du Congrès après la Violation de données OPM. C'est alors que Zero Trust a été identifié comme le modèle qui aurait pu limiter les mouvements des attaquants et protéger la sécurité nationale.

Mais comme l'a souligné Jared, parler de Zero Trust, ou de cybersécurité en général, n'est important que si vous l'abordez en termes de risque commercial.

« Les cyberrisques contribuent aux risques commerciaux, mais ils ne sont pas les mêmes », a-t-il déclaré. « Votre forum ne se soucie pas du temps d'attente ou des charges utiles liées aux rançongiciels. Ils se soucient des temps d'arrêt, des pertes de revenus, de l'impact sur les clients et des conséquences réglementaires. »

Pour Jared, traduire les préoccupations de sécurité en résultats commerciaux est ce qui suscite l'adhésion et assure le succès de la sécurité dans l'ensemble de l'entreprise.

« Votre forum ne se soucie pas du temps d'arrêt ou des charges utiles liées aux rançongiciels. Ils se soucient des temps d'arrêt, des pertes de revenus, de l'impact sur les clients et des conséquences réglementaires. »

— Jared Nussbaum, directeur de la sécurité informatique d'Ares Management

6. Alignez Zero Trust avec votre environnement

L'un des points les plus importants soulevés par John au cours de la conférence était que chaque environnement Zero Trust doit être conçu pour s'adapter à l'organisation.

« Chaque environnement est personnalisé », a-t-il déclaré. « Vous ne pouvez pas simplement sortir une architecture de référence du marché et vous attendre à ce qu'elle fonctionne. Vous devez le concevoir en fonction de votre surface de protection et des besoins de l'entreprise. »

Jared a accepté et a souligné l'importance de la collaboration interfonctionnelle.

« On ne peut pas appliquer Zero Trust dans un silo », a-t-il expliqué. « Vous devez faire appel à des équipes chargées de l'infrastructure, à des développeurs d'applications, à des unités commerciales et même à la haute direction. Si vous ne vous conformez pas à leurs priorités et à leur calendrier, votre programme échouera. »

Il a souligné l'importance d'une communication continue, exhortant les responsables de la sécurité à « socialiser vos plans tôt et souvent, et à les adapter en fonction des commentaires de l'entreprise ».

Intégrer Zero Trust à votre stratégie

John Kindervag et Jared Nussbaum ont apporté des points de vue différents au stade du RSAC, l'un en tant que créateur de Zero Trust, l'autre en tant que praticien qui l'applique quotidiennement. Mais tous deux étaient d'accord sur ce point : Zero Trust est un voyage, pas un projet ponctuel.

« Vous en aurez fini avec Zero Trust quand vous aurez fini de respirer », a plaisanté John. « Il s'agit d'une stratégie à long terme. »

Pour les responsables de la sécurité qui cherchent à établir une base plus résiliente, Zero Trust propose une voie à suivre qui a fait ses preuves. Cela commence par la stratégie, évolue en fonction de l'alignement des activités et réussit grâce à la visibilité, au contexte et au contrôle.

Découvrez comment en savoir plus Clients Illumio mettent Zero Trust en action dans leurs organisations, ou contactez-nous dès aujourd'hui pour discuter avec l'un de nos experts Zero Trust.

Sujets connexes

Articles connexes

Comment résoudre les trois principaux défis liés à la sécurisation des conteneurs et des environnements Kubernetes
Segmentation Zero Trust

Comment résoudre les trois principaux défis liés à la sécurisation des conteneurs et des environnements Kubernetes

Découvrez comment déployer une sécurité cohérente mais flexible dans des conteneurs et des environnements Kubernetes en constante évolution.

Le Forrester Wave™ pour Zero Trust
Segmentation Zero Trust

Le Forrester Wave™ pour Zero Trust

Le rapport Q418 de Forrester Wave sur les fournisseurs de l'écosystème Zero Trust eXtended (ZTX) oriente la stratégie à long terme permettant aux entreprises d'améliorer leur niveau de sécurité.

Codecov Takeaways — Ce que nous savons jusqu'à présent
Segmentation Zero Trust

Codecov Takeaways — Ce que nous savons jusqu'à présent

Voici ce que nous savons à ce jour à propos de Codecov.

3 étapes que les RSSI doivent suivre pour prouver la valeur de la cybersécurité
Cyber-résilience

3 étapes que les RSSI doivent suivre pour prouver la valeur de la cybersécurité

Découvrez l'approche de la sécurité basée sur la valeur qui sera couronnée de succès au sein du conseil d'administration et protégera votre organisation contre l'évolution des cybermenaces.

John Kindervag raconte l'histoire d'origine de Zero Trust
Segmentation Zero Trust

John Kindervag raconte l'histoire d'origine de Zero Trust

Découvrez comment John Kindervag a débuté avec Zero Trust, ses premières recherches sur les meilleures pratiques Zero Trust et ses conseils aux organisations dans leur parcours Zero Trust.

Bien au-delà de la visibilité : comment Illumio Insights connecte vos points de sécurité critiques
Cyber-résilience

Bien au-delà de la visibilité : comment Illumio Insights connecte vos points de sécurité critiques

Découvrez pourquoi l'observabilité est essentielle pour comprendre et réduire les cyberrisques.

Assume Breach.
Minimisez l'impact.
Augmentez la résilience.

Vous souhaitez en savoir plus sur la segmentation Zero Trust ?